Яким речам економіка (та державна безпека) може навчитися у IT-безпеки?

Новини про  нещодавні обшуки у державних енергетичних установах, проведені НАБУ, навели мене до декількох думок щодо балансу інтересів національної безпеки та економічного зростання. Певним фактором також стало те, що при розмові про безпеку в економіці часто згадують економічну безпеку (різних рівнів – мова може бути як про державу, так і про конкретне підприємство), а про втручання у ринкові відносини через неекономічні загрози національній безпеці літератури не так багато.

Баланс між інтересами безпеки та злагодою досить непростий, до того ж до нього у реальних умовах часто додається елемент соціальної справедливості.

На сьогоднішній день боротьба з корупцією в Україні поки що дає позитивні результати і є сподівання, що вона буде давати навіть більше, коли антикорупційна інфраструктура запрацює у повному обсязі.

Є, правда, певний момент. Якщо брати дослідження з IT-сфери, то можна дійти висновку, що із року в рік зростають і вартість посилення безпеки, і розміри потенційних втрат від загроз.

Певні паралелі можна провести з економічною системою держави в цілому. Наприклад, корупційні схеми виникають через непрозорість и складність для сприйняття неспеціалізованими суб’єктами, тоді як у кібербезпеці складні та тривалі у часі заходи призводять до того, що співробітники компаній часто намагаються уникнути проходження таких заходів взагалі.  

Це наводить на думки, що рішення та рекомендації, розроблені IT-спеціалістами можуть мати більш широке застосування.

Одна із найчастіших порад – збільшення рівня контекстуалізації у формуванні заходів безпеки. Це значить, що треба більше аналізуати, а діяти тільки тоді, коли цього дійсно потребує ситуація.

Щодо інших популярних порад – є певні протиріччя. З одного боку, рекомендується бути більш прозорими та доходити консенсусу щодо пріоритетів, з інша точка зору говорить про те, що треба надавати не більше, і не менше інформації, а рівно стільки, скільки потрібно, та думати, у першу чергу, про кінцевих рецепієнтів (в IT це користувачі, а в економічній системі – населення).

Також заходами з безпеки в економіці можуть служити більш чіткий розподіл повноважень (заходи безпеки, пов’язані з «роллю» суб’єкта), заміна спеціально-дозвільної процедури загально-дозвільною (так званий whitelisting).